Search Consoleに攻撃者っぽい検索クエリが出た話|inurl:wp-adminの意味とリスク
Search Consoleには、普段あまり意識しないような検索クエリが表示されることがあります。 今回見つけたのは、少し気になるもの。 WordPressの管理画面に関係するこの検索が、なぜか私のサイトで上位表示されて … 続きを読む
Webセキュリティ
URLがIPアドレスのまま公開されている企業サイトの実態|営業リスト作成で見つけた例外的なケース
営業リストを作成していると、さまざまな企業サイトを確認することになります。 その中で、ほとんどのサイトは問題なくドメイン(example.comなど)で運用されていますが、あるとき少し違和感のあるURLに出会いました。 … 続きを読む
SSRFとは何か|仕組み・できること・対策を解説
SSRF(Server-Side Request Forgery)は、Webアプリケーションにおける代表的な脆弱性の一つです。 少し分かりにくい概念ですが、ポイントはシンプルです。 サーバーに対して、本来意図していないU … 続きを読む
公開2日後に来たcurlアクセスの正体|WordPressアクセスログから見る最初の挙動【Security Log #19】
サイト公開直後は、しばらく誰もアクセスしないと思っていました。 しかし実際のサーバーログを確認すると、公開からわずか2日後に「curl」によるアクセスが確認されました。 しかもその後、User-Agent(ユーザーエージ … 続きを読む
WordPress公開直後のログ観察まとめ|Botは何を見ているのか【Security Log #18】
WordPressサイトを公開すると、アクセスがほとんどない状態でも、すぐに外部からのアクセスが発生します。 その多くは人間ではなく、自動化されたBotによるものです。 本記事では、実際のサーバーログをもとに、WordP … 続きを読む
wp-json/wp/v2/usersにアクセスされる理由|WordPressユーザー列挙の仕組みと対策【Security Log #16】
WordPressのアクセスログを見ていると、以下のようなリクエストを見かけることがあります。 「これは何をしているのか」「ユーザー情報が取得されているのではないか」 初めて見ると不安になりますが、このアクセスには明確な … 続きを読む
WordPressに毎日同じ手順でアクセスが来る理由|実際のログから見るBotスキャンのパターン【Security Log #15】
WordPressサイトを運営していると、毎日のように同じ手順でアクセスが来ることがあります。 「これって攻撃されているの?」「なぜ同じURLばかり叩かれるの?」 実際のアクセスログを見てみると、そこには決まった手順で動 … 続きを読む
【WordPressで考えるSSRF】オープンリダイレクトで内部APIにアクセスする方法|WSAラボ解説
WordPressサイトのセキュリティ対策として、「特定のドメインのみアクセスを許可する(ホワイトリスト)」という実装はよく使われます。 一見すると安全に見えますが、この対策は条件によっては簡単に突破されます。 この記事 … 続きを読む
エラーメッセージの変化から内部到達を判断する方法|HTTPステータスとレスポンスの見方
Webアプリの挙動を調べていると、こんな疑問を持ったことはないでしょうか。 「このエラーって、安全なの?それとも中まで処理が届いてる?」 例えば、 一見するとただのエラーでも、その内容をよく見ると、どこまで処理が進んだか … 続きを読む
WordPressで考えるSSRFホワイトリストバイパス|URL解釈のズレで内部アクセスが可能になる仕組み
SSRF対策として、「特定のURLのみアクセスを許可する」というホワイトリスト方式が使われることがあります。 一見すると安全に思えますが、この方法だけでは不十分です。 今回のWeb Security Academyのラボ … 続きを読む